Criação de cópias de backup em Contas da AWS - AWS Backup
Configurar o backup entre contasProgramar o backup entre contasExecutar backup sob demanda entre contasChaves de criptografia e cópias entre contasRestaurando um backup de um Conta da AWS para outroCompartilhar um cofre de backup com uma conta da AWS diferenteConfigurar sua conta como uma conta de destinoConsiderações de segurança para backup entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de cópias de backup em Contas da AWS

Usando AWS Backup, você pode fazer backup de vários sob Contas da AWS demanda ou automaticamente como parte de um plano de backup programado. Use um backup entre contas se quiser copiar com segurança seus backups para uma ou mais pessoas Contas da AWS em sua organização por motivos operacionais ou de segurança. Se o backup original for excluído acidentalmente, você poderá copiar o backup da conta de destino para a conta de origem e, em seguida, iniciar a restauração. Antes de fazer isso, é preciso ter duas contas que pertençam à mesma organização no serviço AWS Organizations . Para obter mais informações, consulte Criar e configurar uma organização no Guia do usuário do Organizations.

Na sua conta de destino, crie um cofre de backup. Em seguida, você atribui uma chave gerenciada pelo cliente para criptografar os backups na conta de destino e uma política de acesso baseada em recursos para permitir o acesso AWS Backup aos recursos que você gostaria de copiar. Na conta de origem, se os recursos estiverem criptografados com uma chave gerenciada pelo cliente, você deverá compartilhar essa chave com a conta de destino. Depois, você poderá criar um plano de backup e escolher uma conta de destino que faça parte da sua unidade organizacional no AWS Organizations.

Quando você copia um backup para várias contas pela primeira vez, AWS Backup copia o backup na íntegra. Em geral, se um serviço oferecer suporte a backups incrementais, as cópias subsequentes desse backup na mesma conta serão incrementais. AWS Backup criptografa novamente sua cópia usando a chave gerenciada pelo cliente do seu cofre de destino.

Requisitos

  • Antes de gerenciar recursos Contas da AWS em vários estados AWS Backup, suas contas devem pertencer à mesma organização no AWS Organizations serviço.

  • A maioria dos recursos suportados pelo AWS Backup suporte oferece suporte ao backup entre contas. Para obter detalhes, consulte Disponibilidade de recursos por recurso.

  • A maioria das AWS regiões oferece suporte ao backup entre contas. Para obter detalhes, consulte Disponibilidade de recursos por Região da AWS.

  • AWS Backup não oferece suporte a cópias entre contas para armazenamento em camadas frias.

Configurar o backup entre contas

O que é necessário para criar backups entre contas?

  • Uma conta de origem

    A conta de origem é a conta em que residem seus AWS recursos de produção e backups principais.

    O usuário da conta de origem inicia a operação de backup entre contas. O usuário ou o perfil da conta de origem devem ter as permissões de API apropriadas para iniciar a operação. As permissões apropriadas podem ser a política AWS gerenciadaAWSBackupFullAccess, que permite acesso total às AWS Backup operações, ou uma política gerenciada pelo cliente que permite ações comoec2:ModifySnapshotAttribute. Para obter mais informações sobre os tipos de política, consulte Políticas gerenciadas pelo AWS Backup.

  • Uma conta de destino

    A conta de destino é a conta na qual você deseja manter uma cópia do seu backup. É possível escolher mais de uma conta de destino. A conta de destino deve estar na mesma organização que a conta de origem no AWS Organizations.

    Você deve “Permitir” a política de acesso ao backup:CopyIntoBackupVault para o seu cofre de backup de destino. A ausência dessa política negará as tentativas de copiar na conta de destino.

  • Uma conta de gerenciamento em AWS Organizations

    A conta de gerenciamento é a conta principal na sua organização, conforme definido pelo AWS Organizations, que você usa para gerenciar o backup entre contas entre suas Contas da AWS. Para usar o backup entre contas, também é necessário habilitar a confiança do serviço. Depois de habilitar a confiança do serviço, você poderá usar qualquer conta na organização como uma conta de destino. Na sua conta de destino, escolha quais cofres usar para o backup entre contas.

  • Habilitar o backup entre contas no console do AWS Backup

Para obter mais informações sobre a segurança, consulte Considerações de segurança para backup entre contas.

Para usar o backup entre contas, você deve habilitar o recurso de backup entre contas. Depois, você deverá “Permitir” a política de acesso ao backup:CopyIntoBackupVault no seu cofre de backup de destino.

Ativar backup entre contas

  1. Faça login usando as credenciais AWS Organizations da sua conta de gerenciamento. O backup entre contas só poderá ser habilitado ou desabilitado usando essas credenciais.

  2. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  3. Em Minha conta, escolha Configurações.

  4. Em Backup entre contas, escolha Habilitar.

  5. Em Cofres de backup, escolha o cofre de destino.

    Para cópia entre contas, o cofre de origem e o cofre de destino estão em contas diferentes. Mude para a conta que possui a conta de destino, conforme necessário.

  6. Na seção Política de acesso, “Permita” o backup:CopyIntoBackupVault. Por exemplo, escolha Adicionar permissões e, depois, Permitir acesso a um cofre de Backup da organização. Qualquer ação entre contas que não seja backup:CopyIntoBackupVault será rejeitada.

  7. Agora, qualquer conta na sua organização poderá compartilhar o conteúdo de seu cofre de backup com qualquer outra conta na organização. Para ter mais informações, consulte Compartilhar um cofre de backup com uma conta da AWS diferente. Para limitar quais contas podem receber o conteúdo dos cofres de backup de outras contas, consulte Configurar sua conta como uma conta de destino.

Programar o backup entre contas

É possível usar um plano de backup programado para copiar backups entre Contas da AWS.

Como copiar um backup usando um plano de backup programado

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Em Minha conta, escolha Planos de backup e, depois, escolha Criar plano de backup.

  3. Na página Criar plano de Backup, escolha Criar um plano.

  4. Em Nome do plano de backup, insira um nome para o plano.

  5. Na seção Configuração da regra de backup, adicione uma regra de backup que defina uma programação de backup, uma janela de backup e regras de ciclo de vida. Você poderá adicionar mais regras de backup posteriormente.

    Em Nome da regra, insira um nome para a regra.

  6. Na seção Programar, em Frequência, escolha com que frequência você deseja que o backup seja feito.

  7. Em Janela de backup, escolha Usar padrões da janela de backup (recomendado). É possível personalizar a janela de backup.

  8. Em Cofre de backup, escolha um cofre na lista. Os pontos de recuperação desse backup serão salvos nesse cofre. É possível criar um cofre de backup.

  9. Na seção Gerar cópia – opcional, insira os seguintes valores:

    Região de destino

    Escolha o destino Região da AWS para sua cópia de backup. O backup será copiado nessa região. Você pode adicionar uma nova regra de cópia por cópia em um novo destino.

    Copiar no cofre de outra conta

    Alterne para escolher essa opção. A opção ficará azul quando selecionada. A opção ARN do cofre externo será exibida.

    ARN do cofre externo

    O nome do recurso da Amazon (ARN) da conta de destino. O ARN é uma sequência de caracteres que contém o ID da conta e seus. Região da AWS AWS Backup copiará o backup para o cofre da conta de destino. A lista de regiões de destino é atualizada automaticamente com a região no ARN do cofre externo.

    Em Permitir acesso ao cofre do Backup, escolha Permitir. Depois, escolha Permitir no assistente que será aberto.

    AWS Backup precisa de permissões para acessar a conta externa para copiar o backup para o valor especificado. O assistente mostra o seguinte exemplo de política que fornece esse acesso.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    Transição para o armazenamento frio

    Escolha quando fazer a transição da cópia de backup para o armazenamento estático e quando expirar (excluir) a cópia. Os backups transferidos para armazenamento "frio" devem ficar armazenados lá por no mínimo 90 dias. Esse valor não pode ser alterado após a transição de uma cópia para o armazenamento estático.

    Para ver a lista de recursos que podem fazer a transição para o armazenamento frio, consulte a seção “Ciclo de vida até o armazenamento frio” da tabela Disponibilidade de recursos por recurso. A expressão de armazenamento frio é ignorada para outros recursos.

    Expirar especifica o número de dias em que a cópia é excluída depois de sua criação. Esse valor deve ser superior a 90 dias além do valor de Transição para armazenamento estático.

    nota

    Quando os backups expiram e são marcados para exclusão como parte de sua política de ciclo de vida, AWS Backup exclui os backups em um ponto escolhido aleatoriamente nas 8 horas seguintes. Essa janela ajuda a garantir um desempenho consistente.

  10. Escolha Tags adicionadas aos pontos de recuperação para adicionar tags aos seus pontos de recuperação.

  11. Em configurações avançadas de backup, escolha VSS do Windows para habilitar snapshots com reconhecimento de aplicações para o software de terceiros selecionado em execução no EC2.

  12. Selecione Criar plano.

Executar backup sob demanda entre contas

Você pode copiar um backup para Conta da AWS outro sob demanda.

Como copiar um backup sob demanda

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Em Minha conta, escolha Cofre de backup para ver todos os seus cofres de backup listados. É possível filtrar pelo nome ou tag do cofre de backup.

  3. Escolha o ID do ponto de recuperação do backup que deseja copiar.

  4. Escolha Copiar.

  5. Expanda os Detalhes do backup para ver as informações sobre o ponto de recuperação que você está copiando.

  6. Na seção Configuração de cópia, escolha uma opção na lista Região de destino.

  7. Escolha Copiar no cofre de outra conta. A opção ficará azul quando selecionada.

  8. O nome do recurso da Amazon (ARN) da conta de destino. O ARN é uma sequência de caracteres que contém o ID da conta e seus. Região da AWS AWS Backup copiará o backup para o cofre da conta de destino. A lista de regiões de destino é atualizada automaticamente com a região no ARN do cofre externo.

  9. Em Permitir acesso ao cofre do Backup, escolha Permitir. Depois, escolha Permitir no assistente que será aberto.

    Para criar a cópia, AWS Backup precisa de permissões para acessar a conta de origem. O assistente mostra o seguinte exemplo de política que fornece esse acesso. Esta política é mostrada a seguir.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. Em Transição para armazenamento frio, escolha quando fazer a transição da cópia de backup para o armazenamento frio e quando expirar (excluir) a cópia. Os backups transferidos para armazenamento "frio" devem ficar armazenados lá por no mínimo 90 dias. Esse valor não pode ser alterado após a transição de uma cópia para o armazenamento estático.

    Para ver a lista de recursos que podem fazer a transição para o armazenamento frio, consulte a seção “Ciclo de vida até o armazenamento frio” da tabela Disponibilidade de recursos por recurso. A expressão de armazenamento frio é ignorada para outros recursos.

    Expirar especifica o número de dias em que a cópia é excluída depois de sua criação. Esse valor deve ser superior a 90 dias além do valor de Transição para armazenamento estático.

  11. Em perfil do IAM, especifique o perfil do IAM (como a função padrão) que tem as permissões para disponibilizar seu backup para cópia. O ato de copiar é realizado pela função vinculada ao serviço da sua conta de destino.

  12. Escolha Copiar. Dependendo do tamanho do recurso que está copiando, esse processo pode levar várias horas para ser concluído. Quando o trabalho de cópia for concluído, você verá a cópia na guia Trabalhos de cópia no menu Trabalhos.

Chaves de criptografia e cópias entre contas

A chave de criptografia de cópia entre contas depende do tipo de recurso. Recursos que AWS Backup Gerenciamento completo usaram a chave de criptografia do cofre de backup de origem. As chaves KMS gerenciadas pelo cliente podem ser usadas para criptografia de cópias entre contas desses tipos de recursos.

Os tipos de recursos que não são totalmente gerenciados por AWS Backup têm a mesma chave KMS de origem e chave KMS de recurso. A cópia entre contas com chaves KMS AWS gerenciadas não é suportada para esses tipos de recursos que não são totalmente gerenciados pelo. AWS Backup

Para obter ajuda adicional na solução de falhas de cópia entre contas, consulte o Centro de AWS Conhecimento.

Durante uma cópia entre contas, a política de chaves KMS da conta de origem deve permitir a conta de destino na política de chaves KMS.

Restaurando um backup de um Conta da AWS para outro

AWS Backup não suporta a recuperação de recursos de um Conta da AWS para outro. No entanto, é possível copiar um backup de uma conta para outra conta e depois restaurá-lo nessa conta. Por exemplo, você não pode restaurar um backup da conta A para a conta B, mas pode copiar um backup da conta A para a conta B e depois restaurá-lo na conta B.

Restaurar um backup de uma conta para outra é um processo em duas etapas.

Como restaurar um backup de uma conta da para outra

  1. Copie o backup da origem Conta da AWS para a conta para a qual você deseja restaurar. Para obter instruções, consulte Configurar o backup entre contas.

  2. Use as instruções apropriadas para seu recurso para restaurar o backup.

Compartilhar um cofre de backup com uma conta da AWS diferente

AWS Backup permite que você compartilhe um cofre de backup com uma ou várias contas, ou com toda a organização em AWS Organizations. É possível compartilhar um cofre de backup de destino com uma conta da AWS de origem, um usuário ou um perfil do IAM.

Como compartilhar um cofre de backup de destino

  1. Escolha AWS Backup e, depois, escolha Cofres de Backup.

  2. Escolha o nome do cofre de backup que você deseja compartilhar.

  3. No painel Política de acesso, escolha o menu suspenso Adicionar permissões.

  4. Escolha Permitir acesso em nível de conta a um cofre de Backup. Ou você pode optar por permitir o acesso no nível da organização ou do perfil.

  5. Insira o AccountID da conta que você deseja compartilhar com esse cofre de backup de destino.

  6. Escolha Salvar política.

Você pode usar políticas do IAM para compartilhar o cofre de backup.

Compartilhar um cofre de backup de destino com uma Conta da AWS ou comum perfil do IAM

A política a seguir compartilha um cofre de backup com o número de conta 4444555566666 e o perfil do IAM SomeRole no número de conta 111122223333.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
Compartilhe um cofre de backup de destino em uma unidade organizacional AWS Organizations

A política a seguir compartilha um cofre de backup com unidades organizacionais que usam seus PrincipalOrgPaths.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
Compartilhe um cofre de backup de destino com uma organização no AWS Organizations

A política a seguir compartilha um cofre de backup com a organização com PrincipalOrgID “o-a1b2c3d4e5".

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

Configurar sua conta como uma conta de destino

Quando você ativa pela primeira vez os backups entre contas usando sua conta de AWS Organizations gerenciamento, qualquer usuário de uma conta membro pode configurar sua conta para ser uma conta de destino. Recomendamos a configuração de uma ou mais das seguintes políticas de controle de serviço (SCPs) no AWS Organizations para limitar as contas de destino. Para saber mais sobre como anexar políticas de controle de serviço aos AWS Organizations nós, consulte Anexando e desanexando políticas de controle de serviço.

Limitar contas de destino usando tags

Quando anexada a uma conta AWS Organizations raiz, OU ou individual, essa política limita os destinos de cópias dessa raiz, OU ou conta somente para as contas com cofres de backup que você marcou. DestinationBackupVault A permissão "backup:CopyIntoBackupVault" controla como um cofre de backup se comporta e, nesse caso, quais cofres de backup de destino são válidos. Use essa política, junto com a tag correspondente aplicada aos cofres de destino aprovados, para controlar os destinos das cópias entre contas somente para contas e cofres de backup aprovados. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
Limitar as contas de destino usando números de conta e nomes de cofres

Quando anexada a uma conta AWS Organizations raiz, OU ou individual, essa política limita as cópias originadas dessa raiz, OU ou conta a apenas duas contas de destino. A permissão "backup:CopyFromBackupVault" controla o comportamento de um ponto de recuperação no cofre de backup e, nesse caso, os destinos nos quais você pode copiar esse ponto de recuperação. O cofre de origem só permitirá cópias na primeira conta de destino (112233445566) se um ou mais nomes de cofres de backup de destino começarem com cab-. O cofre de origem só permitirá cópias na segunda conta de destino (123456789012) se o destino for o cofre de backup chamado fort-knox.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
Limite as contas de destino usando unidades organizacionais no AWS Organizations

Quando vinculada a uma AWS Organizations raiz ou OU que contém sua conta de origem, ou quando vinculada à sua conta de origem, a política a seguir limita as contas de destino às contas dentro das duas OUs especificadas.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

Considerações de segurança para backup entre contas

Esteja ciente do seguinte ao usar backups entre contas no AWS Backup:

  • O cofre de destino não pode ser o cofre padrão. Isso ocorre porque o cofre padrão foi criptografado com uma chave que não pode ser compartilhada com outras contas.

  • Os backups entre contas poderão ainda ser executados por até 15 minutos após a desativação do backup entre contas. Isso ocorre devido a uma eventual consistência e poderá resultar no início ou na conclusão de alguns trabalhos entre contas, mesmo após a desativação do backup entre contas.

  • Se a conta de destino deixar a organização em uma data posterior, essa conta reterá os backups. Para evitar possíveis vazamentos de dados, coloque uma permissão de negação na permissão organizations:LeaveOrganization em uma política de controle de serviço (SCP) anexada à conta de destino. Para obter informações detalhadas sobre SCPs, consulte Remover uma conta-membro da sua organização no Guia do usuário do Organizations.

  • Se você excluir uma função de trabalho de cópia durante uma cópia entre contas, não AWS Backup poderá cancelar o compartilhamento de instantâneos da conta de origem quando o trabalho de cópia for concluído. Nesse caso, o trabalho de backup será concluído, mas o status do trabalho de cópia será exibido como Falha ao cancelar o compartilhamento do snapshot.